Ameaças via tráfego SSL estão em crescimento. Uma pesquisa realizada pela Zscaler constatou que 60% do tráfego já ocorre criptografado e que nos últimos 6 meses a quantidade de ameaças escondidas nesse protocolo dobraram.

Os hackers estão utilizando o tráfego SSL cada vez mais para esconder as infecções, realizar extração de dados e esconder comunicações de comando e controle. Segundo o relatório, a quantidade de tentativas de phishing que utilizam o SSL cresceu 400% desde 2016.

O que mais o estudo encontrou

  • Novos e sosfisticados malwares utilizam o SSL para encriptar os mecanismos de comando e controle.
  • Uma média de 300 hits por dia de web exploits que incluem o SSL como parte da cadeia de infecção.
  • A família de malware mais prevalecente nesse cenário é a Dridex/Emotet, a qual contribuiu com 34% do total de novos payloads em 2017.

Tráfego SSL, fundamental para a segurança dos usuários

A encriptação SSL é fundamental para a proteger os dados enquanto transitam na web, emails e dispositivos móveis. Os dados encriptados por esse método comum podem passar despercebidos e não-inspecionados por quase todos os componentes da sua infraestrutura de segurança, tanto inbound quanto outbound. Assim, o SSL se tornou uma ferramenta na mão dos criminosos, que a utilizam para esconder transferências de dados sensíveis e ocultar as comunicações de comando e controle.

Por exemplo, suponha que um usuário foi vítima de um dos muitos emails de phishing que recebe todos os dias, clicou em uma URL maliciosa e fez o download de um malware Zeus encriptado em uma máquina do escritório financeiro, onde os pagamentos da empresa são realizados. Ocultado pela encriptação SSL, o Zeus enviou informações de password e outros dados sensíveis para um usuário externo, tornando possível para o atacante capturar login, utilizar o password adquirido e depositar o dinheiro da empresa em uma conta de um terceiro.

Como todos esses comandos e tráfegos ocorreram pelo tráfego SSL, as soluções de segurança estavam cegas para essas atividades.

Hoje as empresas aceitam cada vez mais tráfego encriptado, já que existe um movimento de transição para os serviços na nuvem. Isso significa que os malwares irão encontrar formas cada vez mais inovadoras de ganhar vantagem sobre essa forma comum de tráfego de dados. por exemplo, os criminosos podem utilizar os serviços na nuvem para passar pelo firewall e sincronizar o malware de um computador para o outro.

Como tanto as pessoas e empresas bem intencionadas quanto os criminosos estão utilizando a encriptação, tornar esse tráfego visível – e inspecioná-lo – se tornou essencial. O processo de desencriptação precisa ser feito de modo a não interferir com o tráfego legítimo, ao mesmo tempo em que trabalha com outras soluções de segurança. O tráfego desencriptado e analisado precisa ser recriptografado antes de ser enviado para seu destino, de forma a proteger os dados e as informações ali contidos.

Quer saber mais sobre o tráfego encriptado? Baixe gratuitamente um guia completo:

Guia: A Ausência de Visibilidade